云计算将扮演更重要的角色,尤其是在金融服务领域
随着越来越多的组件融合在一起,基于云的加密和密钥管理广泛应用趋势将加速。企业对云计算的态度越来越积极,特别是那些正在向云支付处理迈进的金融服务组织。
云计算服务商正在提供更强大、更灵活的安全服务,以满足那些希望保留密钥控制权,同时避免被云服务商锁定的企业的需求。云服务商一直在听取企业对数据安全实践的关注,并在数据访问、密钥管理和数据保留策略方面取得了长足的进步。
同态加密将成为“新常态”
面对隐私泄露和监管力度的双重压力,同态加密作为最优秀的隐私增强技术之一,2021年有望成为“新常态”。
同态加密被广泛认为是加密的“圣杯”,对数据进行处理和操作时能够保持加密状态,可用于保护存储在云中或传输中的数据的安全。这使企业能够使用数据(例如对客户数据进行分析)同时又不会损害数据整体的完整性。
同态加密不是一项新技术,学术领域已经进行了30多年的研究。尽管从历史上来看同态加密一直是计算密集型的技术,但近年的最新突破使之可广泛用于各种商业应用。
BYOE将开始流行
顾名思义自带加密(BYOE)就是云计算用户使用自己的加密软件并管理自己的加密密钥,主密钥位于企业的HSM(硬件安全模块)中,而不是云服务提供商的HSM。BYOE是一种开始流行的云安全(营销)模型,也是企业云安全的一次重要变革,企业巩固自己掌控和管理数据安全策略所需的控制级别。
例如,如果企业受到传唤云服务商将其数据交给主管部门会发生什么?如果云服务商发生数据泄露怎么办?如果组织控制其密钥并可以在本地进行加密,则只需删除密钥就可使云端数据(即使被泄露)不可用。
加密+密钥管理,对于缩短的证书生命周期至关重要
企业需要比以往更严格的加密和密钥管理。随着整个行业过渡到一年期证书,企业需要管理周期更短的数字证书计划。跟踪证书失效日期非常重要,自动化将发挥重要作用。
为了提升安全水平,企业将把密钥管理提高到与加密程序相同的重要级别。即使您部署了良好的加密策略和加密程序,糟糕的密钥管理仍然会成为“阿喀琉斯之踵”。
加密技术对DevSecOps很重要,尤其是代码签名
获取能够确保DevOps基础设施安全,同时又不牺牲其效率的安全工具至关重要。在考察密钥管理、硬件安全模块(HSM)、加密和第三方监控工具时,企业将着重于这些工具向DevOps团队提供所需的集成安全性以及快速识别和排除故障区域的能力。
DevSecOps的目标是消除痛点,同时扩大组织内部加密的使用。在代码签名方面,HSM扮演着至关重要的角色。代码签名证书、安全密钥生成和证书存储应集中和自动化,并与CI/CD系统本地集成。
长周期设备制造商将开始拥抱加密敏捷性
2020年,关于量子计算机颠覆当前密码学的讨论很多。2021年,那些产品生命周期10至20年的设备制造商(卫星、汽车、武器、医疗设备等)将开始接受抗量子安全加密技术。敏捷的加密解决方案可能需要实现混合证书,使用常规非对称加密进行签名的同时,要具备足够的灵活性,以便今后向抗量子加密平稳过渡,以应对量子计算的威胁。
总结
无论是云服务商还是采用BYOE和同态加密的企业,亦或采用混合证书来实现加密敏捷性的DevSecOps团队,下面两个议题需要划重点:
- 加密和密钥管理二者缺一不可;
- 较短的证书生命周期意味着企业需要比以往更加关注密钥管理。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】